Sabemos por Snowden que las comunicaciones en Internet están siendo vigiladas a nivel mundial por la NSA. Los gobiernos nacionales también tienen sus capacidades de espiar. En este trabajo se analiza la forma en la que dos personas se pueden comunicar entre sí, sin dejar huella de que esa comunicación existió.

• Comunicaciones Secretas en Internet (PDF)
• Comunicaciones Secretas en Internet (ODT)

El resumen del trabajo:

En 2013, Edward Snowden filtró miles de documentos de la Agencia Nacional de Seguridad de los Estados Unidos (NSA por sus siglas en inglés) a los periodistas Glenn Greenwald y Laura Poitras. Desde entonces se han publicado decenas de reportajes periodísticos a nivel mundial que revelan programas de vigilancia masiva de alcance global.
Las filtraciones muestran que esta agencia tiene la capacidad de recolectar las comunicaciones de Internet. Cables de fibra óptica, comunicaciones satelitales y telefonía celular son algunas de los medios sobre los que la agencia recolecta información. Las grandes empresas de Internet entregan los datos sus usuarios a esta agencia. Si esto no es suficiente se recurre a los ataques informáticos para buscar la información restante.
Las comunicaciones recolectadas son procesadas en sistemas sofisticados. Los mismos permiten a los analistas de la NSA encontrar información a través de buscadores similares al de Google o DuckDuckGo que operan sobre las comunicaciones privadas de quiénes usan Internet.
Si bien la NSA sostiene que los programas de vigilancia se realizan con el fin de combatir el terrorismo. Se revelaron operaciones que muestran espionaje político y a sectores estratégicos de países alrededor del mundo. En este trabajo se enfatiza el caso de América Latina.

El documento completo se lo puede descargar acá:

• Biblioteca Digital Facultad de Economía UBA (pdf)
• La NSA Según las Revelaciones de Snowden (pdf)
• La NSA Según las Revelaciones de Snowden (odt)
• Archive.org en varios formatos
• Torrent

Un documento más corto lo publiqué en CIBSI y lo pueden descargar acá.

Mi primer trabajo consistió en un estudio sobre los documentos revelados por Snowden. Se han publicado varios artículos de prensa sobre estos documentos de  2013 a la fecha, pero existen pocos trabajos que realicen un análisis general para tener una visión sistémica del funcionamiento de la NSA. Básicamente intento explicar las capacidades de la NSA para recolectar y analizar información, así como también, muestro algunas operaciones de espionaje realizados por esta agencia.

Información dispersa

Hugo Pagola, mi profesor de la maestría, me recomendó que escriba un artículo sobre los documentos de Snowden para el IX Congreso Iberoamericano de Seguridad de la Información (CIBSI) que se realizó del 1 al 3 de noviembre de este año en la Universidad de Buenos Aires. Me encantó la idea, asumí el reto y el artículo fue aceptado.

El artículo fue publicado junto a las actas de CIBSI y ahora esta disponible para descarga bajo licencia Creative Commons:

• Las Capacidades de Vigilancia de la NSA Según los Documentos de Snowden (PDF)
• Las Capacidades de Vigilancia de la NSA Según los Documentos de Snowden (ODT)

Una forma fácil de hacerlo es utilizando la herramienta OnionShare. Es una herramienta súper sencilla que funciona para Linux, Windows y Mac. Lo único que se requiere tener instalado es el navegador Tor tanto en la máquina que envía y recibe el archivo.

En el caso de Debian, la instalación se la hizo directo desde repositorio. Cuando se ejecuta el programa por primera vez se tiene la siguiente pantalla:

En esta pantalla se añade archivos ya sea arrastrando (1), de forma individual (2) o toda una carpeta (3). Una vez que todo esta listo se enciende el servidor y se generará un url accesible desde el navegador Tor similar a este: http://2j2abk2pytphpahu.onion/7x7at2z7hlqhus4d67vztm35pi

Para que esto funcione es importante correr el navegador Tor en la máquina local, sino aparecerá el siguiente mensaje.

Una vez que se tiene el navegado funcionando se genera la url que mencioné antes y bastará con copiarlo al navegador Tor de las personas que deseen descargarlo.

Una vez que alguien inicie una descarga, OnionShare nos avisará con una o varias barras de estado:

En «1» se tiene la opción de copiar el url para compartirlo con otras personas. En «2» se tiene la opción de ver el estado de las descargas. «3» permite apagar automáticamente el servicio OnionShare una vez que se terminaron las descargas evitando que otras puedan acceder al archivo.

Eso es todo, fácil, sencillo. Además se comparte el archivo de forma anónima y cifrada a través de un servicio oculto de Tor.

Skype es software privativo y un servicio centralizado que depende de Microsoft, una empresa vinculada con varios programas de espionaje de la NSA. Lamentablemente sigue siendo una de las herramientas que más se usan en Internet para llamadas de voz por Internet.

El otro día descubrí Ring, un programita muy bonito que remplaza Skype y además tiene los 3 ingredientes necesarios para las comunicaciones privadas. Es software libre y su código es accesible para ser estudiado, mejorado y auditado. El que quiera contribuir a mejorarlo puede participar en su comunidad. 

Ring utiliza criptografía fin a fin siempre, eso quiere decir que solo las personas que se comunican entre sí son las que pueden escuchar las comunicaciones. Salvo que nuestra computadora o celular este comprometido, nadie podrá saber lo que estamos diciendo.

Al principio añadir cuentas para comunicarnos será algo más complicado, pero tampoco tanto. Debemos copiar el RingID de la persona con la que nos queremos comunicar a nuestra computadora o celular para añadirlo como contaco. En el caso de un celular, se puede usar el código QR. Esto se hace una sola vez y luego se asocia al contacto y se lo llama como lo haríamos en Skype o cualquier software de este tipo.

RingID y código QR

El último ingrediente y que es un diferenciador importantísimo con respecto a otras alternativas como Jitsi es que funciona en una red P2P, sin la necesidad de servidores centrales.

Pueden probar Ring en: GNU/Linux, Windows, Mac OSX y Android.

Es importante notar que todavía es versión beta y que no todo funcionará perfectamente. Sin embargo, a diferencia se Skype, no tendremos a Microsoft y la NSA escuchando nuestras comunicaciones.

Antes de terminar quería comentarles que Ring no es el único de su tipo. Por ahí del 2014  probé Tox, que se veía muy bien y hace más o menos la mismo. En esa época estaba en versión alfa y daba problemas. Hace unos meses lo quise probar y me dio problemas para instalar. ¡Sin embargo otra alternativa para probar!.

Ese Indeseado Vecino

Si encuentra a su vecino espiando detrás de la ventana, seguro sentirá su intimidad amenazada. ¿Qué pasaría si su vecino tiene acceso a su cuenta de correo electrónico, historial de búsquedas, navegación, ubicación geográfica y contactos telefónicos? Esto es exactamente lo que ocurre cuando usa los servicios de Google y un celular Android, por ejemplo. Pero a diferencia del vecino mirándole por la ventana, usted aún no se ha enterado.

El Internet es un espacio maravilloso. Sin embargo, a través de la red, estamos perdiendo el derecho fundamental a la privacidad sin darnos cuenta. Somos una generación ingenua que creyó que los servicios en Internet como realizar una búsqueda en Google podían ser gratuitos. La verdad es que si no pagas por el servicio, eres el producto. Nuestra información personal, como historiales de búsquedas en Google, es la que financia a las empresas que proveen estos servicios. Por eso, el programa PRISM de la NSA revelado por Snowden describe como “partners” a las empresas Google, Microsoft, Yahoo, Skype, Youtube, Apple y otras. Básicamente estas empresas venden nuestra información privada.

En su novela “1984”, Orwell habla de las “telepantallas”: televisores usados para espiar a los televidentes. Hoy, los smartphones con sus micrófonos, cámaras, GPS y software que puede ser controlado de forma remota, son telepantallas de bolsillo. Muchos minimizan el problema de la vigilancia masiva asumiendo que no tienen nada que esconder. Pero la verdad es que no haber hecho nada malo no justifica ser vigilado. Además, todos tenemos algo que esconder: un abogado debe cuidar la privacidad de sus clientes, un médico la histórica clínica de los pacientes, un amigo los secretos de sus compañeros.

Y aquí lo grave: la NSA no es la única que puede espiarnos. Las herramientas utilizadas para comunicarse en general son inseguras por diseño. Por ejemplo, un correo electrónico es una carta en sobre abierto que puede ser fácilmente leída por terceros. Nuestras comunicaciones pueden ser interceptadas sin mucha dificultad por delincuentes informáticos o gobiernos. La forma de protegerse es usar criptografía. Esta, permite codificar las comunicaciones para que sean entendidas solo por las partes interesadas y no por terceros. Hoy, es posible encriptar correos, chats, llamadas telefónicas, sms y todo tipo de comunicación.

Assange suele dar el ejemplo de cuando se descubrieron las bacterias y la gente aprendió a lavarse las manos con jabón. En la actualidad, si se quiere usar el Internet sin perder la privacidad, se deben cambiar los hábitos aprendiendo a cifrar las comunicaciones con software libre. Eso mantendrá al vecino, o al barrio entero, lejos de su ventana.

Los usos de esta tecnología pueden ser muy diversos. Podría ser una forma en la que un proveedor de servicios se comunica de forma segura con sus clientes, a un álbum de fotos para compartir solo con las personas de confianza.

Instalar Tor

Si bien se puede instalar el «Tor Browser Boundle», en esta ocasión se va a instalar solo el servidor desde el repositorio del proyecto Tor para tener la versión más actualizada. Además cada vez que se arranque el sistema operativo Tor estará activo.

Para añadir los repositorios, al final del archivo /etc/apt/sources.list añadimos la siguiente línea:
deb http://deb.torproject.org/torproject.org wheezy main


Luego se importa las claves:
gpg --keyserver keys.gnupg.net --recv 886DDD89
gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | apt-key add -
apt-get update


Por último se instala Tor:

apt-get install tor

Para ver los detalles sobre como instalar Tor desde repositorios deben leer la documentación del proyecto. En mi caso utilicé la documentación para Debian y Ubuntu.

Configurar el Servicio Oculto

Si se ha seguido este how-to debería editar el archivo /etc/tor/torrc y añadir las siguientes líneas:

HiddenServiceDir /var/lib/tor/h1
HiddenServicePort 80 127.0.0.1:80

En la primera línea decimos el lugar donde se guardará la configuración del servicio oculto y en la segunda línea el puerto que queremos compartir, el puerto 80 es para http.
En el caso del directorio es importante que el usuario con el que corre Tor pueda escribir en el directorio.

Se reinicia el servicio de Tor y en el directorio/var/lib/tor/h1 encontrará un archivo con el nombre hostname. Este archivo tiene la url por la que se puede acceder al servicio de Tor. El otro archivo contiene la llave privada y pública del servicio, eso no hay compartir aunque es buena idea  respaldar ese archivo si se desea migrar de servidor y mantener la misma url.

En mi caso ya puedo acceder al servicio a través de http://oxz5wtlo4yzoarf3.onion/wordpress

Consideraciones:

• En el caso de este ejemplo sería recomendable utilizar https en lugar de http.
• Los servicios ocultos pueden ser accedidos sin Tor reemplazando  .onion por .tor2web.org. Si se accede al servicio de esta manera, será necesario utilizar el servicio TCP con criptografía. (Ej. utilizar https en lugar de http)
• Se debe mantener actualizado Tor y el sistema operativo
• Se puede ejecutar cualquier servicio que funcione con TCP: correo, chat, ftp, etc ….

Pidgin por si solo no nos da mucha seguridad. Existen 2 plugins de pidgin que permite encriptar el chat a nivel de cliente. Esto es muy bueno porque podemos usar cualquier protocolo de chat y la información pasará encriptada por los servidores. Es decir solo el que escribe y el que recibe podrán leer la información. Hace mucho tiempo escribí un tutorial para utilizar Pidgin con el plugin pidgin-encription.  En este artículo explicaré como utilizar el plugin pidgin-otr que es más seguro.

Si bien la primera parte del artículo se habla sobre como instalar en las principales distribuciones GNU/Linux, la segunda parte sobre configuración de OTR y Pidgin es relevante para Windows. Los usuarios de Mac deberían instalar Adium y buscar la opción de OTR.

Los usuarios de celulares deberían buscar aplicaciones libres que soporten OTR.

Instalar Pidgin y OTR

Aquí explicaré como instalar a través de comandos en distribuciones que usan apt y yum. Utilizo la línea de comando para instalar, pero es probable que lo pueda hacer con las herramientas de paquetería gráficas buscando pidgin y pidgin-otr.

Para instalar Pidgin y OTR en distribuciones basades en apt (Ubuntu, Debian, etc…) bastará con:

sudo apt-get install pidgin pidgin-otr

Supongo que para distribuciones basadas en RPM tipo Fedora se debería poner:

yum install pidgin pidgin.otr

Listo con eso esta instalado Pidgin y OTR. Al abrir la aplicación se debe crear una cuenta. Siga el procedimiento para el sistema de mensajería instantánea que usted utilice.

Configurar OTR

Una vez que tenga la cuenta de chat configurada, hay que verificar que el módulo de OTR este activo. Para esto en el menú donde se despliegan los contactos conectados dentro del menú herramientas seleccionar complementos.

Una vez en los complementos buscar Mensajería Fuera-de-Registro (OTR)

Con eso ya esta instalado el complemento de encriptación. Se puede verificar que esta activo si en la parte inferior derecha de la ventana de chat tenemos un mensaje que dice «No privado.»

Esto quiere decir que se esta trabajando con un chat no seguro. Si la persona con la que se esta chateando tiene instalado OTR, entonces se puede iniciar una conversación privada. Para esto se hace click «No Privado» y luego en iniciar conversación privada.

Ahora ya se tiene una conversación encriptada.

Como dice el mensaje, falta autenticar a la persona al otro lado del chat. Estoy quiere decir que la comunicación es encriptada, pero no se tiene seguridad que la persona al otro lado del chat es quién dice ser. Sin embargo la conversación ya es encriptada y se puede comprobar abriendo el gmail (en este ejemplo que se usa gmail).

De lado de Diego en su celular donde tenía abierta la conversación de chat se puede comprobar fácilmente que la conversación esta encriptada.

Ahora solo falta autenticar que la persona que esta al otro lado es quién dice ser. La forma más fácil es utilizar una frase compartida entre los 2. Por ejemplo con Diego quedamos en poner el nombre de la ciudad donde el vive. Es algo simple, pero yo ya sabía que estaba hablando con Diego.

Para esto se hace click sobre el mensaje «No Verificado»y luego en autenticar compañero.

En este caso se utilizará una frase compartida. (Shared Secret)

Se podría compartir la frase por SMS, una llamada telefónica, etc… De alguna manera que uno este seguro que la otra persona es quien dice ser. En este caso compartimos la palabra Loja

Una vez que el compañero ingrese la frase compartida en su equipo la autenticación se realizará con éxito.

Listo ahora en la esquina inferior derecha se tendrá el mensaje de color verde que dice Privado.

Listo ahora se tiene chat encriptado.

La semana pasada escribí un artículo sobre los problemas de privacidad que tenemos en Internet y como el software libre puede ayudarnos a defendernos. Recientemente encontré este video donde en los primeros 50 segundos habla Julian Assange sobre la filtración de documentos Spy Files y dice más o menos los siguiente:

Quién tiene aquí un iPhone? Quién tiene aquí un BlackBerry? Quién aquí usa Gmail? están todos jodidos.

El resto del video es publicidad de la empresa Italiana Hack Team sobre la venta de sus servicios y técnicas de espionaje informático. Un sistema infectado puede prender la cámara, el micrófono, saber las teclas que estamos escribiendo y mucho más. Les invito a buscar 12 minutos de su tiempo para ver el video.

Si bien los Spy Files no han sido tan difundidos como los cables diplomáticos de EEUU, su contenido es altamente preocupante. Los ciudadanos de a pié, así como nuestros gobernantes, estamos en constante riesgo de espionaje informático y debemos considerar seriamente la importancia de controlar el software que utilizamos.

El Software Libre no es garantía absoluta de no ser espiados, su uso combinado a la criptografía minimiza este riesgo. Por lo menos en el caso del producto de este video, el sistema operativo GNU/Linux, no esta soportado para ser espiado. La diferencia entre el Software Libre y el no-libre es que sobre el uno se puede tener control, mientras que con el otro no.

Considerando que Ecuador es el país que asumió el reto de dar asilo a Julian Assange, deberíamos estar más conscientes de las filtraciones que hace Wikileaks y sus implicaciones. Sobre todo ahora que asumimos este reto, nos convertimos en un target bastante interesante para el espionaje internacional. Me preocupa mucho ver a ministros, asambleístas y demás gente que esta en el poder comunicándose con blackberries, Iphones, Ipads, Android, Windows, MacOs, etcétera.